Post on 29-Jun-2022
Etude de la maturité Cybersécurité 2021Afrique Francophone
Juin 2021
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 2© 2021 Deloitte Afrique SAS 2Etude de maturité Cyber Afrique- 2021
Sommaire
ContexteImpact COVID et principales préoccupations des entreprises en matière de cyberattaques
InvestissementAllocation et répartition des budgets sur la cybersécurité
StratégieExistence d’une stratégie cybersécurité et implication
du top management
17
OrganisationRattachement hiérarchique du RSSI et répartition du temps alloué à la cybersécurité
21
SensibilisationSensibilisation des collaborateurs face aux risques cybersécurité
14
08 11
OutsourcingActivités cybersécurité externalisées à des tiers
23 25
TechnologiesOutils déployés pour la protection et la sécurisation du système d’information
27
Détection & RéponseDispositifs de détection et de réponse mis en place
29
RésilienceDispositif de résilience face aux incidents cybersécurité
31
Méthodologie et Remerciements
Avant-propos
03
Etude de maturité Cyber Afrique- 2021 3© 2021 Deloitte Afrique SAS
Avant-propos
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 4© 2021 Deloitte Afrique SAS 4Etude de maturité Cyber Afrique- 2021
Avant-propos
Au fur et à mesure que le monde se transforme et se consolide, que les modes de travail évoluent, notamment dans le contexte
marqué par la pandémie de COVID-19, les frontières de la cybersécurité s’étendent. Avec chaque nouvel appareil connecté,
découverte numérique ou processus automatisé, de nouvelles vulnérabilités et des préoccupations en cybersécurité émergent.
Dans le contexte du « Cyber Everywhere », Deloitte a mené une enquête auprès de deux cent cinquante entreprises africaines à
travers une vingtaine de questions qui permettent de dresser un panorama de leur niveau de maturité cybersécurité ainsi que
ses perspectives, les organisations se positionnent-elles pour saisir les opportunités naissantes de la cybersécurité ? Ou y a-t-il un
écart entre leurs objectifs de transformation et leurs limitations en termes de temps et de ressources ?
Cette étude permet d’apporter des éléments de réponse chiffrés sur les défis auxquels se confrontent les organisations
africaines. Parmi ces défis, nous avons souhaité adresser les sujets de gouvernance, incluant le rôle du responsable de la sécurité
des systèmes d’information au sein de l’organisation, ainsi que l’implication et la sensibilisation des décideurs au risque cyber
dans les opérations qui permettraient de définir une stratégie de cybersécurité adéquate.
Au-delà des aspects organisationnels, l’étude tend à présenter la situation des organisations africaines s’agissant des moyens mis
en disposition dans la mise œuvre de leur stratégie de cybersécurité. Ainsi, dans un contexte de pénurie de compétences
spécialisées et de cadres règlementaires en évolution, nous nous sommes intéressés au recours à l’externalisation et aux
technologies permettant d’assurer la protection, la détection et la résilience face aux cybermenaces.
Les résultats de cette étude, dédiée au marché africain, ont également été mis en perspective avec le baromètre de l’enquête
mondiale Deloitte « Cyber everywhere. Succeed anywhere ». En multipliant les points de vue d’experts, cette étude donne aux
Directions Générales et aux Responsables de la Sécurité des Systèmes d’Information des grandes entreprises africaines, des
éléments d’information et des sources d’inspiration. Nous souhaitons, à travers cette étude, apporter notre contribution au
renforcement de la cybersécurité des entreprises africaines.
Aristide OuattaraRisk Advisory Lead PartnerDeloitte Afrique Francophone
Sofiane El AbdiCyber Risk Lead PartnerDeloitte Afrique Francophone
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 5© 2021 Deloitte Afrique SAS 5Etude de maturité Cyber Afrique- 2021
Large couverture des entreprises d’Afrique Francophone
Avant-propos
Près de 210 entreprises de 11 pays en Afrique Francophone ont participé à ce baromètre. Ces entreprises sondées couvrent un échantillon
représentatif des secteurs d’activité des entreprises africaines : Services Financiers, Télécoms, Média & Technologie, Industrie et service, Secteur
public, autres
210Entreprises Africaines
11Pays de l’Afrique Francophone
31%Services Financiers (Finance, Banque, Assurance & Investissement)
20%Télécoms, Média & Technologie
24%Industrie et service
51%Des entreprises avec plus de 1 000 employés
22%Des groupes internationaux
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 6© 2021 Deloitte Afrique SAS 6Etude de maturité Cyber Afrique- 2021
Points clés
Avant-propos
Contexte et risques
cybersécurité
• Durant la pandémie de la COVID-19, la majorité des entreprises sondées ont eu recours au télétravail total ou partiel, et estiment y être suffisamment outillées.
• La principale préoccupation des entreprises africaines en matière de cyberattaques concerne les logiciels malveillants suivis par les attaques de phishing. En effet, la moitié des entreprises ont constaté une augmentation du nombre d’incidents depuis 2020.
Investissements,
gouvernance,
stratégie et
organisation
• Les budgets alloués à la cybersécurité restent insuffisants, 66% des entreprises investissent moins de 200k € par an. Contrairement aux tendances mondiales, les budgets alloués à la cybersécurité ne sont pas équitablement répartis entre les différents domaines ; 35% des investissements cybersécurité sont dédiés à la sécurité des infrastructures IT et seulement 5% sont dédiés à la sécuritédes données, la détection des incidents, le suivi des menaces ou encore la gestion des identités et des accès.
• Uniquement la moitié des entreprises africaines déclarent disposer d’une stratégie et d’une feuille de route cybersécurité enadéquation avec la stratégie globale de leurs entreprises.
• La majorité des entreprises ont désigné un responsable de la sécurité SI. Toutefois, et contrairement aux tendances mondiales, uniquement 7% du temps des responsables sécurité SI est dédié à la détection et la réponse aux cybermenaces.
Technologie,
externalisation et
résilience
• Le manque des compétences qualifiées en cybersécurité, les faibles budgets et le manque d’appui du management représentent les principales contraintes limitant les entreprises africaines dans l’atteinte de leurs objectifs tant cyber que métiers.
• Le dispositif de résilience dans les entreprises africaines reste insuffisant. En effet, uniquement 22% des entreprises sondéesdisposent d’un SOC, 42% disposent d’un plan de continuité d’activité et 11% uniquement ont souscrit à une police d’assurance pour couvrir le risque en matière de cybersécurité.
Etude de maturité Cyber Afrique- 2021 7© 2021 Deloitte Afrique SAS
Baromètre de maturité Cyber Afrique- 2021
Etude de maturité Cyber Afrique- 2021 8© 2021 Deloitte Afrique SAS
Contexte
• Impact COVID: Adoption de la solution du télétravail face à la pandémie
• La principale préoccupation des entreprises en matière de cyberattaques
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 9© 2021 Deloitte Afrique SAS 9Etude de maturité Cyber Afrique- 2021
Impact COVID: Adoption de la solution du télétravail face à la pandémie
Contexte
Le recours au télétravail partiel
Le recours au télétravail total
La composition et la rotation des équipes
10%8%
82%
28%
72%
Oui Non
• La crise mondiale générée par l’épidémie du Coronavirus
(COVID19) met à rude épreuve la capacité de résilience des
entreprises africaines. La majorité d’entre elles ont invité leurs
collaborateurs à adopter le télétravail, afin de pouvoir conserver
leurs liens contractuels et continuer à assurer efficacement ses
activités. C’est le cas de 92% des entreprises. Toutefois, 8% d’entre
elles ont opté pour un modèle hybride, consistant à instaurer des
rotations d’équipes. Cela pourrait se comprendre car si de
nombreuses entreprises se sont laissées surprendre par la
pandémie, celle-ci fut pour d’autres une opportunité de croissance
des affaires, d’où une nécessité d’adaptation. C’est le cas des
services financiers numériques, des industries évoluant dans la
fabrication de produits d’entretien, des institutions de santé, etc.
• Le télétravail rime toutefois avec une ouverture vers l’extérieur et
une augmentation de la fenêtre d’exposition aux attaques cyber.
Notre étude a démontré que 28% des organisations estiment
n’avoir pas été suffisamment outillées afin de faire face à ces
risques, autant sur le plan technique que sur le plus humain.
92% des entreprises sondées ont eu recours au télétravail total ou partiel1
Face à l’impact du COVID-19, la solution adoptée est
Face à l’impact du COVID-19, la solution adoptée est
72% des entreprises sondées estiment qu’elles sont suffisamment outillées en matière de télétravail 2
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 10© 2021 Deloitte Afrique SAS 10Etude de maturité Cyber Afrique- 2021
La principale préoccupation des entreprises en matière de cyberattaques
Contexte
Logiciels malveillants (virus, malware, ransomware, etc.) 36%
22%
16%
12%
8%
6%
Attaques de phishing
Risque de fuite de données
Intrusion cybernétique depuis l'interne
Intrusion cybernétique depuis l'externe
Attaques DOS/DDOS
• Parmi les incidents les plus importants, nous pouvons citer ceux provenant de logiciels malveillants
et des attaques par hameçonnage. Ils constituent à eux seuls des préjudices subis par 78% des
entreprises. En effet, l’apparition de la pandémie a été l’occasion pour certains de profiter de
l’anxiété et de la sensibilité limitée des utilisateurs aux règles d’identification de courriels ou fichiers
malveillants. Nombreux sont ceux qui, souhaitant recueillir des informations liées à la pandémie, se
sont vus proposer de télécharger des fichiers ou des applications les exposant à des pertes de
données ou à une confiscation de leurs données moyennant le paiement d’une rançon.
• Ce qui nous amène à la seconde catégorie de préoccupations révélées par les organisations : les
attaques cybernétiques provenant de l’extérieur, et les fuites de données. Elles ont pour cause
racine le manque de préparation et de mesures de sécurité adéquates déployées avant ouverture du
réseau à l’extérieur. Dans certains cas, les employés des organisations ont eux-mêmes été vecteurs
de la réalisation de ces incidents, ce qui nous ramène encore une fois au manque de sensibilisation
en cybersécurité d’une bonne partie d’entre eux.
Avec la crise qu’a engendrée la COVID et la transition vers le télétravail, nous avons constaté une
augmentation des risques liés aux cyberattaques. Les attaques de Phishing et de Ransomware sont celles
qui préoccupent notre organisation.
Fahd Chaouch, Directeur Exécutif, Société Magasin Général, Tunisie
La principale préoccupation des entreprises africaines en matière de cyberattaques concerne les logiciels malveillants suivis par les attaques de phishing3
Quelle est votre principale préoccupation en matière de cyberattaques?
Etude de maturité Cyber Afrique- 2021 11© 2021 Deloitte Afrique SAS
Investissement
• Allocation des budgets à la cybersécurité • Répartition des budgets sur les différents domaines
de la cybersécurité
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 12© 2021 Deloitte Afrique SAS 12Etude de maturité Cyber Afrique- 2021
Allocation des budgets à la cybersécurité
Investissements
• Il est à déplorer les investissements limités de près de 65% des organisations dans le
renforcement de leur dispositif de cybersécurité. Les 11% d’entre elles qui prévoient des
budgets conséquents à la gestion des risques liés à la cybersécurité, sont des groupes
financiers panafricains, ou encore des opérateurs de télécommunications. Pour ceux-ci, la
sécurité du système d’information relève d’un caractère vital, tout en constituant des
exigences d’ordre réglementaire et légal.
Nous constatons un niveau d’investissement encore insuffisant des institutions financières de la zone
UEMOA dans la prévention et la gestion des risques de cybersécurité.
11%
23%
54%
12%
Plus de 500 000 €
Entre 200 000 € et 500 000 €
Entre 50 000 € et 200 000€
Moins de 50 000 €
Jean Louis Menann Kouamé, Directeur Général Orange Bank Africa
* Ces chiffres portent sur les grandes entreprises (ayant + 500 employés)
Les budgets dédiés à la cybersécurité restent insuffisants, 66% des entreprises investissent moins de 200k € par an1
Quel est le montant approximatif que votre organisation investit en cybersécurité sur une base annuelle? *
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 13© 2021 Deloitte Afrique SAS 13Etude de maturité Cyber Afrique- 2021
Contrairement aux tendances mondiales, les budgets alloués à la cybersécurité ne sont pas équitablement répartis entre les différents domaines ; 35% des investissements
cybersécurité sont dédiés à la sécurité des infrastructures IT et seulement 5% sont dédiés à la sécurité des données, la détection et le suivi des menaces et la gestion des identités 2
Votre entreprise alloue la plus grande partie du budget cybersécurité à
• Les investissements liés à la cybersécurité des entreprises dans le monde sont répartis d’une
manière équitable sur les différents domaines de la cybersécurité. Ceci démontre d’une stratégie
globale axée sur la réduction du risque tandis que les entreprises africaines continuent d’investir
majoritairement sur la sécurité des réseaux et des infrastructures IT.
• Les résultats en Afrique ont été révélateur: 35% des investissements des entreprises africaines en
cybersécurité sont consacrés à la sécurité des infrastructures IT au détriment d’autres domaines
aussi importants tels que la sécurité des données (5%), la gestion des identités et des accès (5%), la
détection et la réponse aux menaces (5%). Ceci peut s’expliquer par :
• Des budgets limités alloués à la cybersécurité
• Une absence d’une vision holistique de la cybersécurité permettant d’identifier et de traiter
toutes les zones à risques de l’entreprise
• Une absence d’indicateurs pertinents remontés du préjudice éventuel aux décideurs, leur
permettant de prendre des décisions d'investissement avisées en matière de cybersécurité
• Des RSSI qui restent majoritairement rattachés à la Direction des Systèmes d’Informations (DSI)
et qui restreignent souvent leurs champs d’activité à la technique
Répartition des budgets sur les différents domaines de la cybersécurité
Investissements
35%
20%
12%
10%
8%
5% 5% 5%
14% 14%
11%10%
11%
16%
14%13%
Stratégie Cyberet
Transformation
Gestiondes
incidents
Résilience technique et reprise après
sinistre
Sécuritédes
applications
La sécurité de l’infrastructure
IT
Sécurité des
données
Détection et suivi des
menaces
Gestion des
identités
Afrique Francophone
Monde
Les entreprises allouent la plus grande partie de leurs budgets aux activités qui leur génèrent
directement des retours sur investissement. Il faudrait donc que la cybersécurité ne soit pas
considérée comme un centre de coût, mais plutôt comme un centre de profit.
Mame Diop, Sous-Directrice du Système d'Information et de la Sécurité, Orange Côte d'Ivoire
Etude de maturité Cyber Afrique- 2021 14© 2021 Deloitte Afrique SAS
Stratégie
• Existence d’une stratégie cybersécurité alignée avec la stratégie globale de l’entreprise
• Implication du Top management et Reporting des indicateurs cybersécurité
• Contraintes empêchant les entreprises d’atteindre leurs objectifs de cybersécurité
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 15© 2021 Deloitte Afrique SAS 15Etude de maturité Cyber Afrique- 2021
47% des entreprises africaines déclarent disposer d’une stratégie et d’une feuille de route cybersécurité en adéquation avec leur stratégie globale1
Votre organisation a-t-elle définit une stratégie de sécurité de l’information ou de cybersécurité comportant une feuille de route?
Existence d’une stratégie cybersécurité alignée avec la stratégie globale de l’entreprise
Stratégie
La cybersécurité est un élément essentiel de la stratégie digitale des états et des entreprises. La
principale responsabilité des gouvernements est d’implémenter une stratégie nationale de
cybersécurité cohérente et inclusive. Et pour se faire, les gouvernements doivent allouer les
budgets appropriés.
Une stratégie cybersécurité existe mais n’est pas
alignée avec les risques et la stratégie de l'entreprise
Une stratégie et une feuille de route cybersécurité sont
formalisées et en adéquation avec la stratégie de l’entreprise
Une stratégie cybersécurité existe mais
n'inclut pas de feuille de route
Inexistence d’une stratégie cybersécurité
47%
26%
16%
11%
• Notre étude a démontré une volonté des entreprises africaines à vouloir
développer un programme de cybersécurité aligné avec les objectifs stratégiques
et l’appétence aux risques de leur organisation. En effet, 47% des entreprises
sondées déclarent avoir formalisé et aligné leur stratégie de cybersécurité et leur
feuille de route avec leur stratégie globale.
• Cependant, 26% des organisations affirment avoir une stratégie de cybersécurité
n’incluant pas de feuille de route. Cette dernière constitue un outil de pilotage
permettant de déployer un dispositif de maîtrise constamment en adéquation avec
le profil de risque.
Syrine Tlili, Directrice Générale, ANCE-Tuntrust, Tunisie
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 16© 2021 Deloitte Afrique SAS 16Etude de maturité Cyber Afrique- 2021
À quelle fréquence le reporting sur les indicateurs de sécurité est communiqué à la direction générale
/ aux comités exécutifs?
Implication du top management et reporting des indicateurs cybersécurité
Stratégie
Une fois partrimestre
15%
Une foispar mois
Une fois par an
Uniquement en cas d’incident cybersécurité
15%12%
31%
Deux fois par an
Jamais
4%
49%
23%
2%
36%
10%
Afrique Francophone
Monde
Une foispar mois
Une fois par trimestre
Deux foispar an
Jamais
6%
20%
32%
23%19%
Une fois par an
• La mise en place de la stratégie cybersécurité repose sur l’implication du management.
Malheureusement, de nombreux dirigeants en Afrique n’abordent pas le sujet aussi
souvent qu’ils devraient le faire, restant fixé sur l’atteinte des objectifs tout en omettant ce
risque pouvant se manifester. Or en suivant la moyenne mondiale, 49% des organisations
évoquent trimestriellement les aspects liés à la cybersécurité dans leurs comités exécutifs,
contre 12% en Afrique.
• Cependant, 36% des entreprises africaines se sont vues contraintes de traiter des incidents
liés à la sécurité de l’information dans leurs comités exécutifs. Les dirigeants d’entreprises
gagneraient à adopter une approche plus proactive et à limiter les actions en réponse à des
préjudices constatés.
• Par ailleurs, les conseils d’administration devraient exiger de la direction qu’elle fournisse
un ensemble d’indicateurs de performance de la sécurité et des indicateurs de risque clés
leur permettant de bien suivre l’état de la cybersécurité de leurs entreprises. Cependant,
75% des entreprises africaines communiquent rarement voire jamais leurs indicateurs de
sécurité à leurs directions générales et/ou comités exécutifs.
La protection de notre système d’information a toujours été au centre de notre stratégie d’entreprise.
Mishael Kompani, Directeur Audit Interne, CITI Bank, République Démocratique du Congo
49% des organisations mondiales et uniquement 12% des entreprises africaines discutent trimestriellement sur le sujet de la cybersécurité dans leurs comités exécutifs
2
A quelle fréquence les sujets de la cybersécurité sont à l’ordre du jour du comité exécutif ?
3 75% des entreprises africaines communiquent rarement voire jamais leurs indicateurs de sécurité à leurs directions générales et/ou comités exécutifs
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 17© 2021 Deloitte Afrique SAS 17Etude de maturité Cyber Afrique- 2021
Contraintes empêchant les entreprises d’atteindre leurs objectifs de cybersécurité
Stratégie
• La majorité des responsables de la sécurité des SI (RSSI) interrogés avouent leurs inquiétudes sur leur
capacité à garantir un niveau adéquat de sécurisation de leurs entreprises. Ceci est dû principalement à trois
obstacles majeurs, affichant des proportions en Afrique bien supérieures à la moyenne mondiale :
1. Le manque de compétences qualifiées et ceci s’explique par le faible taux d’encadrement et la faible
disponibilité des experts en cybersécurité au regard de la forte demande des entreprises souhaitant
recruter et se renforcer massivement sur ce secteur
2. Le manque de financement et les faibles budgets alloués à la cybersécurité
3. Le faible appui du management aux initiatives de cybersécurité qui sont traitées pour beaucoup comme
des problématiques IT en marge des enjeux métiers et ne sont même pas suffisamment discutés au
niveau des comités de direction
14%
13%
14%
12%
16%
15%
15%
27%
25%
21%
13%
7%
5%
2%Monde
Afrique Francophone
Manque de compétence qualifiées
Manque de financement
Manque d’appuidu management en matière de cybersécurité
Gouvernance inadéquate de la cybersécurité
Gestion des données de plus en plus complexe
Changements IT de plus en plus rapides
Difficulté dans la priorisation des cyber-risques dans l'ensemble de l'entreprise
La coordination cybersécurité, le partage d’informations sur les cyberattaques ainsi que la mise à disposition des ressources qualifiées représentent les enjeux cybersécurité majeurs dans le secteur public.
Syrine Tlili, Directrice Générale, ANCE-Tuntrust, Tunisie
La première ligne de défense n’est plus seulement technologique, elle est également humaine et organisationnelle.
El Hadji Malick Gueye, Directeur Risk Advisory chez Deloitte Afrique
Le manque de compétences qualifiées en cybersécurité, ainsi que les faibles budgets et le manque d’appui du management représentent les principales contraintes empêchant les
entreprises africaines d’atteindre leurs objectifs de cybersécurité4
Selon vous, quel est l’aspect le plus difficile dans la gestion de la cybersécurité dans votre organisation ?
Etude de maturité Cyber Afrique- 2021 18© 2021 Deloitte Afrique SAS
Organisation
• Rattachement hiérarchique du RSSI• Répartition du temps alloué par les responsables de
sécurité de l’information
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 19© 2021 Deloitte Afrique SAS 19Etude de maturité Cyber Afrique- 2021
Rattachement hiérarchique du responsable de la sécurité des systèmes d'information (RSSI)
Organisation
• Dans la même dynamique des entreprises mondiales, celles en Afrique prennent de plus en plus
conscience de l’importance de la cybersécurité. Elles sont désireuses de recruter un RSSI et de
constituer une équipe spécialisée et dédiée à la sécurité de l’information de leurs entreprises. En
effet, notre étude a révélé que la majorité de celles-ci disposent d’un RSSI. Il est aussi à noter que
dans certains secteurs, le cadre réglementaire en fait une exigence majeure en matière de
renforcement du dispositif de contrôle interne global. C’est le cas du secteur financier.
• Cependant, et en opposition aux tendances mondiales, les RSSI des entreprises établies en Afrique
sont majoritairement membres de la Direction des Systèmes d’Information (DSI).
• Ce modèle d’organisation révèle un niveau de maturité encore assez faible ; ainsi qu’un écart de
conformité avec les bonnes pratiques de gouvernance. Celles-ci prônent une autonomie des RSSI
dans leur rôle de chef d’orchestre et d’animation du dispositif de sécurité du SI, en articulation avec
les opérationnels et les différents corps de contrôle.
Le rôle principal d’un RSSI est de s’assurer de l’alignement de la stratégie de cybersécurité avec la stratégie
globale de l’entreprise et de veiller à l’atteinte de ses objectifs.
20%
14%
48%
16%
2%
32%
11%
31%
9%
8%
Le RSSI/CISO est rattaché directement à la Direction Générale (CEO)
Le RSSI/CISO est rattaché à la Direction des Risques (CRO) et/ou la Direction de Conformité (CCO)
Le RSSI/CISO est rattaché à la Direction des Systèmes d'Information (CIO/CTO)
Pas de RSSI/CISO officiellement désigné
Autres
Afrique Francophone
Monde Dhia Hachicha, Directeur Cyber Risk, Deloitte Afrique Francophone
La majorité des entreprises ont désigné un responsable de la sécurité SI, toutefois 57% des RSSI africains sont encore rattachés à la Direction Informatique1
Le responsable de la sécurité des systèmes d'information (RSSI) dans votre organisation est rattaché à quelle entité ?
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 20© 2021 Deloitte Afrique SAS 20Etude de maturité Cyber Afrique- 2021
Répartition du temps alloué par les responsables de sécurité de l’information
Organisation
Identification20%
Protection 46%
Détection et réponse
22%
Reprise12%
Identification24%
Protection 56%
Détection et réponse
7%
Reprise13% Définition des politiques et des procédures de sécurité de l’information
Gestion des identités et des accès
Formation et la sensibilisation à la sécurité de l’information
Sécurisation et protection des données
Mise en place et la gestion des outils technologiques de protection
8%
12%
14%
29%
37%
Afrique francophoneMonde
• L’examen des données de l’enquête sur la répartition du temps par les équipes
cybersécurité des organisations du continent a démontré que ces derniers consacrent une
grande partie de leur temps sur une des cinq fonctions essentielles du Framework
Cybersécurité de l'Institut national des normes et de la technologie (NIST) : La protection.
En effet, 37% de leur temps est dédié à la mise en place et la gestion des outils
technologiques de protection, 29% à la gestion des identités et des accès, et 14% à la
définition des politiques et des procédures de sécurité de l’information.
• Vu le nombre considérable de tâches sous leurs responsabilités, les RSSI n’allouent que 12%
de leur temps à la sensibilisation des membres du personnel, et 8% à la sécurisation et
protection des données. Or, de plus en plus de pays en Afrique se dotent de lois de
protection des données à caractère personnel, sous la supervision d’une autorité dédiée.
• Parallèlement, les résultats de l’enquête révèlent que les RSSI des entreprises africaines ne
consacrent que 7% de leur temps à la détection et la réponse, sujet sur lequel leurs
homologues dans le monde en sont à 22% d’occupation.
>
Contrairement aux tendances mondiales, uniquement 7% du temps des responsables sécurité SI est dédié à la détection et la réponse aux cybermenaces
2
Comment les responsables de la sécurité de l'information de votre organisation
répartissent leurs temps entre les fonctions ci-dessous du Framework NIST?
La mise en place et la gestion des outils technologiques de protection demeurent l’activité principale des responsables cybersécurité en Afrique
Comment les responsables de la sécurité de l'information de votre organisation
répartissent leurs temps entre les fonctions de protection ci-dessous ?
3
Etude de maturité Cyber Afrique- 2021 21© 2021 Deloitte Afrique SAS
Sensibilisation
Sensibilisation des collaborateurs face aux risques cybersécurité
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 22© 2021 Deloitte Afrique SAS 22Etude de maturité Cyber Afrique- 2021
Sensibilisation des collaborateurs face aux risques cybersécurité
Sensibilisation
Non Oui
35%
65% Il ressort de l’enquête que 35% des entreprises estiment que leurs collaborateurs ne sont pas
sensibilisés aux risques cybersécurité liés au télétravail. Ce taux assez élevé explique les préjudices
exposés plus haut et pour lesquels les vecteurs se trouvent être les employés eux-mêmes.
Les alertes de sécurité d’ouverture de sessions, et les campagnes d’attaques à blanc permettent d’anticiper les cyberattaques, et de mieux sensibiliser les collaborateurs.
Jean Luc Diatta, Directeur du Système d'Information, Banque Régionale de Marchés(BRM), Sénégal
Les opérations de simulation d'attaques permettent de tester la capacité de l’équipe IT à gérer des cyberattaques et de mieux sensibiliser les utilisateurs finaux.
Fahd Chaouch, Directeur Exécutif, Société Magasin Général, Tunisie
Malgré la généralisation du travail à distance à l’ère du COVID, 35% des entreprises sondées estiment que leurs collaborateurs ne sont pas sensibilisés aux risques cybersécurité du
télétravail
Les collaborateurs de votre entreprise sont-ils sensibilisés aux risques du télétravail ?
Etude de maturité Cyber Afrique- 2021 23© 2021 Deloitte Afrique SAS
Outsourcing
Activités cybersécurité externalisées ou sous-traitées à des tiers
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 24© 2021 Deloitte Afrique SAS 24Etude de maturité Cyber Afrique- 2021
Activités cybersécurité externalisées ou sous-traitées à des tiers
Outsourcing
15,3%
14,9%
14,6%
14,6%
14%
13,9%
12%
0,3%
12%
9%
34%
8%
9%
8%
5%
15%
La sécurité des opérations
La gestion des vulnérabilités
La sécurité physiqueet environnementale
Les formationset la sensibilisation des employés
La veille et la surveillance de sécurité
La gestion de la sécuritédes applications
La gestion des accès et des identités
Aucune des opérations cybersécurité sont sous-traitées
Monde
Afrique Francophone
• Devant l’accélération du nombre d’attaques informatiques et le niveau de complexité des
systèmes de protection, de plus en plus d'entreprises africaines se tournent vers
l’externalisation de leurs sécurités.
• Le recours des entreprises africaines à la sous-traitance dans le domaine de la sécurité porte
essentiellement sur la sécurité physique et environnementale. Plus précisément elle
consiste à se doter des services de sociétés de gardiennage. Ces organisations comptent
pour 34%, pour une moyenne mondiale de 14.6%.
• Il est aussi important de relever que 15% des entreprises ne disposent d’aucune opération
de cybersécurité externalisée. Elle dénote dans certains cas un sentiment d’excès de
confiance, et dans la majorité des cas une contrainte liée aux budgets alloués à la
cybersécurité.
La prévention de la cybercriminalité dans les établissements financiers nécessite un renforcement de la coopération entre les autorités de régulation et de contrôle ainsi que le recours à l’expertise des cabinets spécialisés.
Chokri Neji, Directeur Sécurité, Arab Tunisian Bank, Tunisie
Les entreprises africaines suivent les tendances mondiales en matière d’externalisation de leurs activités de cybersécurité. Toutefois, la gestion de leur sécurité physique et
environnementale demeure la fonction la plus sous-traitée
Parmi la liste ci-dessous, quelle est la fonction de votre entreprise la plus sous-traitée à des tiers/partenaires ?
Etude de maturité Cyber Afrique- 2021 25© 2021 Deloitte Afrique SAS
Technologies
Outils déployés pour la protection et la sécurisation du système d’information
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 26© 2021 Deloitte Afrique SAS 26Etude de maturité Cyber Afrique- 2021
Uniquement 32% des entreprises africaines utilisent des solutions de sécurisation avancées
56% des RSSI sondés jugent que leurs entreprises ne sont pas suffisamment outillées en matière de cybersécurité
Outils déployés pour la protection et la sécurisation du système d’information
Technologies
1
D’une façon générale, estimez-vous que votre organisation est suffisamment outillée en
matière de cybersécurité ?• La cybersécurité a souvent été assimilée à la capacité défensive que
pourrait avoir une entreprise aux cybermenaces. Seulement 38% des
entreprises africaines estiment être préparées efficacement contre celles-ci,
mais sans pour autant avoir réellement mis à l’épreuve leurs mesures de
sécurité.
• Néanmoins, plus de la moitié des entreprises consultées sont conscientes
qu’elles ne sont suffisamment pas outillées en matière de cybersécurité.
Pour la majorité d’entre elles les raisons sont d’ordre budgétaire. Elles se
limitent donc à des solutions de sécurisation assez basiques telles que : les
Antivirus, les Antispam et les Firewalls, sans investir sur des solutions
avancées telles que : DLP, NAC, AntiDDOS, IDS/IPS, SIEM, IAM, etc.
La cybersécurité dans le secteur financier est un enjeu de sécurité nationale, les banques doivent adapter leurs dispositifs de protection et déployer une activité de veille cybersécurité et mettre en place des systèmes de cyberdéfense avancés.
Chokri Neji, Directeur Sécurité, Arab Tunisian Bank, Tunisie
Oui Je ne sais pasNon
6%
56%
38%
2
Quels systèmes de sécurité utilisez-vous dans votre organisation ?
Des solutions de sécurisation basiques
Des solutions de sécurisation avancées
Des solutions de protection des données
Des solutions de surveillance et de traçabilité
Des solutions IAM
38%
32%
22%
16%
98%
Etude de maturité Cyber Afrique- 2021 27© 2021 Deloitte Afrique SAS
Détection & Réponse aux cybermenaces
Dispositifs de détection et de réponse mis en place pour faire face aux cybermenaces
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 28© 2021 Deloitte Afrique SAS 28Etude de maturité Cyber Afrique- 2021
Uniquement 32% des entreprises africaines utilisent des solutions de sécurisation avancées
40% des entreprises ont constaté une augmentation du nombre d’incidents depuis l’année dernière et 39% ne réalisent pas le suivi de leurs incidents cybersécurité
Dispositifs de détection et de réponse mis en place pour faire face aux cybermenaces
Détection & Réponse aux cybermenaces
1
Le nombre d’incidents de cybersécurité vécus par votre organisation a-t-il augmenté depuis
l'année dernière ?
Non
40% 39%
21%
Aucun suivi des
incidents Oui
2
Quels systèmes de sécurité utilisez-vous dans votre organisation ?
22%48% Des entreprises disposent d'un SOC
Des entreprises disposent des outils de gestion des événements et des logs cybersécurité (SIEM)
• Une forte croissance des incidents de cybersécurité a été relevée depuis 2020.
40% des entreprises l’ont confirmée, alors que 39% d’entre elles ne disposent pas
d’outils de monitoring et de suivi des incidents de cybersécurité. Il y a lieu de faire
encore une fois référence à l’adoption impromptue du télétravail durant les
périodes de confinement, et à l’anxiété et les compétences souvent limitées de
certains administrateurs systèmes et réseaux. Elles ont été à l’origine des lacunes
massives dans la cybersécurité des entreprises.
• Malgré cette augmentation des incidents et des risques cyber, près de 48% des
entreprises disposent d’outils de type SIEM (Security Information and Event
Management) pour la gestion des événements et des logs cybersécurité. Bien
moins d’entre elles (22%) disposent d’un SOC (Security Operations Center).
L’absence de déploiement de ces systèmes de surveillance, limite les capacités de
prévention et d’intervention des entreprises face aux incidents de cybersécurité.
Mettre en place des outils et une organisation SOC permet d'anticiper et de réagir plus vite, de limiter les impacts d'une attaque, voire même la stopper.
Mame Diop, Sous-Directrice du Système d'Information et de la Sécurité, Orange Côte d'Ivoire
Etude de maturité Cyber Afrique- 2021 29© 2021 Deloitte Afrique SAS
Résilience
Dispositif de résilience face aux incidents cybersécurité
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 30© 2021 Deloitte Afrique SAS 30Etude de maturité Cyber Afrique- 2021
Le dispositif de résilience dans les entreprises africaines reste insuffisant. En effet, uniquement 42% des entreprises sondées disposent d’un plan de continuité d’activité et 11%
uniquement ont souscrit à une police d’assurance pour couvrir le risque en matière de cybersécurité
Dispositif de résilience face aux incidents cybersécurité
Résilience
Quels dispositifs avez vous mis en place pour faire face aux incidents cybersécurité?
Un plan de gestion de crise et des incidents 65%
42%
22%
11%
12%
Un plan de continuité d’activitéet un plan de reprise informatique
Une organisation et une plateforme de détectionet de réponse aux incidents cybersécurité (SOC)
Aucun parmi ces dispositifs
Souscription d'une police d’assurancepour couvrir le risque en matière de cybersécurité
• Aucune organisation ne peut prédire ou empêcher une attaque. En revanche,
elle peut renforcer sa résilience face aux menaces et limiter les dommages
causés par une attaque. Elle doit rester constamment en alerte et se tenir prête.
C’est pourquoi elles doivent s’efforcer de mettre à jour les différents scénarios
de menaces, leurs plans de continuité d’activité et leurs plans de reprise.
• Une majorité des entreprises africaines (65%) a mis en place un cadre
opérationnel pour le pilotage et la gestion de crise et des incidents. Cependant,
42% d’entre elles ont défini des plans de continuité d’activité globaux qui
détaillent tous les volets techniques et organisationnels nécessaires pour assurer
la continuité des opérations suite à un sinistre.
• La cyber assurance restant encore peu répandue dans la région, seules 11% des
entreprises en ont souscrit.
Le nombre de cybermenaces ne cesse d’augmenter depuis le début de la pandémie. Disposer d’un plan de continuité d’activité et d’un SOC opérationnel est indispensable pour faire face à ces menaces.
Mohamed YOUSRI, Directeur de la Sécurité du Système d'Information, Sonatrach, Algérie
Etude de maturité Cyber Afrique- 2021 31© 2021 Deloitte Afrique SAS
Méthodologie & Remerciements
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 32© 2021 Deloitte Afrique SAS 32Etude de maturité Cyber Afrique- 2021
Notre approche
Méthodologie
• Le baromètre Deloitte de la maturité Cyber des entreprises en Afrique a été conduit auprès de 210 entreprises africaines, présentes dans 11 pays, répartis dans 3 régions : Afrique du Nord, Afrique de l’Ouest et Afrique Centrale.
• L’objectif était de collecter et analyser des données sur le niveau d’appétence aux risques cyber de nos principaux clients et de pouvoir réaliser ainsi un comparatif de maturité entre industries, pays et régions.
Elaboration de l’étude
L’étude est organisée autour de 9 thématiques d’importance majeure pour les entreprises africaines :
⚫ Contexte
⚫ Investissements
⚫ Stratégie
⚫ Organisation
⚫ Sensibilisation
⚫ Outsourcing
⚫ Technologies
⚫ Détection & Réponse
⚫ Résilience
Communication du questionnaire
• 20 questions ont été envoyées à un échantillon de décideurs et de
responsables de sécurité africains, soigneusement identifiés sur la base de
critères tels que leur pays d'origine, leur secteur d'activité, leur chiffre
d'affaires, leur taille, la structure de leur capital, etc.
• Le but était de mettre à disposition des décideurs un état des lieux sur la
maturité des entreprises en cybersécurité en Afrique.
Analyse des résultats
• Les 20 résultats recueillis pour chaque question ont été traités et
analysés pour identifier les principales tendances des dirigeants
africains et les mettre en perspective avec le contexte
commercial, économique, politique et social actuel de l’Afrique.
• Des graphiques ont été réalisés pour illustrer les enseignements
tirés.
Entretiens individuels
Ce baromètre a été complété par une série d’entretiens individuels avec des dirigeants d’entreprises africaines afin d’approfondir et enrichir l’étude :
Mme Syrine Tlili, Directrice Générale, ANCE-Tuntrust, Tunisie
M. Fahd Chaouch, Directeur Exécutif, Société Magasin Général, Tunisie
M. Mohamed YOUSRI, Directeur de la Sécurité du Système d'Information, Sonatrach, Algérie
Mme Mame Diop, Sous-Directrice du Système d'Information et de la Sécurité, Orange Côte d'Ivoire
M. Jean Luc Diatta, Directeur du Système d'Information, Banque Régionale de Marchés, Sénégal
M. Mishael Kompani, Directeur Audit Interne, CITI Bank, République Démocratique du Congo
M. Chokri Neji, Directeur Sécurité, Arab Tunisian Bank, Tunisie
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 33© 2021 Deloitte Afrique SAS 33Etude de maturité Cyber Afrique- 2021
Aperçu de l'échantillon de répondants
Méthodologie
Répondants par région d’Afrique
Afrique du Nord
40%
Afrique de l’Ouest
28%
Afrique Centrale
32%
Tunisie
Maroc
Algérie
Côte d’Ivoire
Burkina Faso
Togo
Rép.
Démocratique
du Congo
Sénégal
Mauritania Mali
Guinea
Niger
Chad
Cen. Afr. Rep.
Benin
GabonCameroun
Congo
Répondants par nombre d’employés en Afrique
Moins de 200 Entre 200 et 500 Entre 500 et 1000 Plus, que 3000
16%
Entre 1000 et 3000
20%
13%
30%
21%
11 pays représentés :
Algérie
Bénin
Cameroun
Congo
Côte d’Ivoire
Gabon
Maroc
République Démocratique du Congo
Togo
Tunisie
Sénégal
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 34© 2021 Deloitte Afrique SAS 34Etude de maturité Cyber Afrique- 2021
Aperçu de l'échantillon de répondants
Méthodologie
Répondants par secteur d’activité
31%
Services Financiers (Finance, Banque,
Assurance & Investissement)
20%
Télécoms, Média & Technologie
24%
Industrie et service
20%
Secteur Public
5%
Autre
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 35© 2021 Deloitte Afrique SAS 35Etude de maturité Cyber Afrique- 2021
Remerciements
Nous souhaitons dans un premier temps remercier tous les dirigeants d’entreprises, responsables de sécurité SI et directeurs des systèmes d’information
ayant répondu au questionnaire en ligne et celles et ceux qui ont accepté de rencontrer les Associés et experts de Deloitte à travers le continent pour
répondre à nos questions et partager leur point de vue.
Nous tenons également à remercier individuellement les personnalités qui nous ont permis d’illustrer chaque thème à travers des témoignages
qualitatifs. Il s’agit de: Mme Syrine Tlili, Directrice Générale, ANCE-Tuntrust, Tunisie; M. Fahd Chaouch, Directeur Exécutif, Société Magasin Général,
Tunisie; M. Mohamed YOUSRI, Directeur de la Sécurité du Système d'Information, Sonatrach, Algérie; Mme Mame Diop, Sous-Directrice du Système
d'Information et de la Sécurité, Orange Côte d'Ivoire; M. Jean Luc Diatta, Directeur du Système d'Information, Banque Régionale de Marchés (BRM),
Sénégal; M. Mishael Kompani, Directeur Audit Interne, CITI Bank, République Démocratique du Congo; M. Chokri Neji, Directeur Sécurité, Arab Tunisian
Bank, Tunisie.
Leurs contributions ont permis de compléter ce baromètre par des retours d'expérience pertinents. Chacun d'entre eux s'engage à agir et à impacter
positivement le continent africain avec passion et optimisme.
Etude de maturité Cyber Afrique- 2021 36© 2021 Deloitte Afrique SAS
Contacts
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 37© 2021 Deloitte Afrique SAS 37Etude de maturité Cyber Afrique- 2021
Contacts
Aristide OuattaraPartner, Risk Advisory Leader Risk Advisory Deloitte Afrique Francophone aouattara@deloitte.fr
Dhia HachichaDirecteur Cyber RiskDeloitte Afrique Francophonedhachicha@deloitte.fr
Sofiane El AbdiPartner, Cyber RiskLeader Cyber Risk Deloitte France et Afrique Francophone selabdi@deloitte.fr
El Hadji Malick GueyeDirecteur Risk AdvisoryDeloitte Afrique Francophoneegueye@deloitte.fr
Etude de maturité Cyber Afrique- 2021© 2021 Deloitte Afrique SAS 38© 2021 Deloitte Afrique SAS 38Etude de maturité Cyber Afrique- 2021
Make an impact that matters
Deloitte en Afrique & Contacts
Présence de Deloitte en Afrique
Burundi
Zimbabwe
EgypteLibye
Algérie
Tunisie
Maroc
Kenya
Ethiopie
ErythréeSoudan
Niger
MauritanieMali
Nigeria
Somalie
Tchad
RépubliqueCentrafricaine
Ouganda
LiberiaSierra Leone
Burkina FasoGambie
Guinée Equatoriale
Djibouti
Sénégal
Guinée Bissau
Namibie
Afrique du Sud
Tanzanie
République Démocratique
du Congo
Angola
Madagascar
Botswana
Zambie
Gabon
Swaziland
Lesotho
Malawi
Rwanda
Bénin
GhanaCôted’Ivoire
Guinée
Cameroun
Congo
Mozambique
Togo Soudandu Sud
Sao Tome et Principe
Cap Vert
Maurice
Seychelles
Comores
La Réunion
9000 professionnels
46 bureaux
52 pays africains servis
Bureaux Deloitte
Présence de Deloitte
Capacité d’intervention Deloitte
Pas de présence
Contact
Emmanuel Gadret
Managing Partner
Deloitte Afrique
EGadret@deloitte.fr
A propos de Deloitte
Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited (« DTTL »), à son réseau mondial de cabinets membres et à leurs entités liées (collectivement dénommés « l’organisation Deloitte »). DTTL (également désigné « Deloitte Global ») et chacun de ses cabinets membres et entités liées sont constitués en entités indépendantes et juridiquement distinctes, qui ne peuvent pas s'engager ou se lier les uns aux autres à l'égard des tiers. DTTL et chacun de ses cabinets membres et entités liées sont uniquement responsables de leurs propres actes et manquements, et aucunement de ceux des autres. DTTL ne fournit aucun service aux clients. Pour en savoir plus, consulter www.deloitte.com/about. En France et en Afrique Francophone, Deloitte SAS est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés.
Deloitte est l'un des principaux cabinets mondiaux de services en audit et assurance, consulting, financial advisory, risk advisory et tax, et services connexes. Nous collaborons avec quatre entreprises sur cinq du Fortune Global 500® grâce à notre réseau mondial de cabinets membres et d’entités liées (collectivement dénommés « l’organisation Deloitte ») dans plus de 150 pays et territoires. Pour en savoir plus sur la manière dont nos 330 000 professionnels makean impact that matters (agissent pour ce qui compte), consultez www.deloitte.com.
En France et en Afrique Francophone, Deloitte regroupe un ensemble de compétences diversifiées pour répondre aux enjeux de ses clients, de toutes tailles et de tous secteurs. Fort des expertises de ses 7 000 associés et collaborateurs et d’une offre multidisciplinaire, Deloitte en France et en Afrique Francophone est un acteur de référence. Soucieux d’avoir un impact positif sur notre société, Deloitte a mis en place un plan d’actions ambitieux en matière de développement durable et d’engagement citoyen.
Cette communication ne contient que des informations à caractère général. Cette étude ne constitue ni un avis ni un service professionnel délivré par Deloitte Touche Tohmatsu Limited ou ses firmes membres ou entités liées (ensemble le Réseau Deloitte).
Avant toute décision ou action susceptible d’affecter vos finances ou votre activité commerciale, il vous revient de consulter un professionnel avisé. Aucune entité du réseau Deloitte ne sera tenue responsable d’un quelconque dommage de quelque nature que ce soit fondé directement ou indirectement sur cette communication .
© 2021 Deloitte Afrique SAS. Une entité du réseau Deloitte